Incidentes Notificados ao CERT.br
Período 1999–2020

Incidentes Reportados ao CERT.br -- janeiro a dezembro de 2012

Análise de alguns fatos de interesse observados neste período

---

O total de notificações recebidas em 2012 foi de 466.029, este número foi 17% maior que o total de 2011. O quarto trimestre de 2012 totalizou 109.083 notificações o que representa uma queda de 30% em relação ao trimestre anterior e a um crescimento de 35% em relação ao quarto trimestre de 2011.

Segue, abaixo, uma breve análise de alguns fatos de interesse observados neste período, agrupados por categorias de incidentes:

Tentativas de Fraude

• As notificações de tentativas de fraude, em 2012, totalizaram 69.561, correspondendo a um aumento de 72% em relação a 2011. No quarto trimestre de 2012 foram contabilizadas 16.131 notificações, correspondendo a uma queda de 10% em relação ao terceiro trimestre de 2012 mas a um crescimento de 58% em relação ao mesmo trimestre de 2011;
• As notificações de casos de páginas falsas de bancos e sites de comércio eletrônico (phishing clássico) em 2012 cresceram 95% em relação a 2011. No quarto trimestre de 2012 houve queda de 15% em relação ao trimestre anterior e crescimento de 85% em relação ao quarto trimestre de 2011;
• As notificações sobre Cavalos de Tróia, utilizados para furtar informações e credenciais, tiveram um crescimento de 24% em relação ao ano de 2011. No entanto, o número de notificações diminuiu 13% em relação ao trimestre anterior mas teve um aumento de 9% em relação ao mesmo trimestre de 2011;
• Notamos que em 2012 o número de notificações de casos de páginas falsas que não envolvem bancos e sites de comércio eletrônico teve um aumento de 154% em relação a 2011. Em relação ao trimestre anterior a queda do número de notificações foi de 59% e em relação ao mesmo trimestre de 2011 a queda foi de 62%;

Ataques a servidores Web

• No ano de 2012 houve um aumento de 65% nas notificações de ataques a servidores Web em relação a 2011, totalizando 25.557 notificações. Em relação ao trimestre anterior houve uma queda de 50% no número de notificações e uma queda de 19% em relação ao quarto trimestre de 2011;
• Os atacantes exploram vulnerabilidades em aplicações Web para, então, hospedar nesses sites páginas falsas de instituições financeiras, Cavalos de Tróia, ferramentas utilizadas em ataques a outros servidores Web e scripts para envio de spam ou scam.

Varreduras e propagação de códigos maliciosos

• As notificações referentes a varreduras chegaram a 232.498, aumentando 94% em 2012 se comparadas com 2011. No último trimestre de 2012 houve queda de 31% em relação ao trimestre anterior mas um aumento de 73% em relação ao mesmo período de 2011;
• As notificações de varreduras de SMTP (25/TCP), que em 2011 eram 44% do total, agora correspondem a 57% de todas as varreduras, mantendo a primeira colocação desde o último trimestre de 2010. No último trimestre de 2011 o número de notificações correspondeu a 62% de todas as varreduras;
• Os serviços que podem sofrer ataques de força bruta continuam sendo visados. SSH (22/TCP) corresponde a 9% das notificações de varreduras tanto na estatística anual quanto do último trimestre de 2012. Desde o terceiro trimestre de 2011 o serviço de RDP (3389/TCP) tem sido visado, correspondendo a 14% das notificações de varreduras de 2012 e a 16% das notificações do último trimestre de 2012. O serviço TELNET (23/TCP) ainda tem sido visado e corresponde a menos de 2% das notificações de varreduras do quarto trimestre de 2012 e a 2% das do ano de 2012;
• As notificações de atividades relacionadas com propagação de worms e bots (categoria worm) totalizaram 38.466 em 2012, aumentando 43% em comparação com 2011. No quarto trimestre de 2012 as notificações cairam 24% em relação ao trimestre anterior e 51% em relação ao quarto trimestre de 2011.

Computadores comprometidos

• Em 2012 recebemos 7.815 notificações de máquinas comprometidas. Este total foi 74 vezes maior do que o número de notificações recebidas em 2011. O número de notificações recebidas no quarto trimestre de 2012 foi 32% menor que o número de notificações recebidas no trimestre anterior mas foi mais de 100 vezes maior que o mesmo trimestre de 2011;
• A grande maioria das notificações de computadores comprometidos foi referente a servidores Web que tiveram suas páginas desfiguradas (defacement).

Outros incidentes reportados

• Em 2012 recebemos 91.823 notificações que se enquadram na categoria "outros", correspondendo a um número 53% menor que o total de 2011 e 4% menor do que o último trimestre de 2011;
• O maior volume de notificações concentrou-se no primeiro semestre de 2012, sendo que o quarto trimestre apresentou uma queda de 37% em relação ao terceiro trimestre de 2012;
• Esta queda deve-se, principalmente, à diminuição no número de notificações de máquinas em redes brasileiras tentando acessar arquivos de configuração utilizados por códigos maliciosos. Foram cerca de 9.500 notificações com esta característica neste trimestre, o que corresponde a uma queda de 46% em relação às notificações recebidas no trimestre anterior;
• A maior parte dos códigos maliciosos conta com mecanismos de atualização de sua configuração ou de seu próprio código. Desde o início de 2012 um grupo Europeu vem fazendo um esforço em notificar todas as redes que possuem máquinas acessando arquivos de configuração ou atualização, de forma a alertar quem esteja com sistemas infectados. Este tipo de notificação figura na categoria Outros por não se enquadrar em nenhuma outra categoria já pré-definida pelo CERT.br.

---

Descrição das categorias de incidentes reportados ao CERT.br:

• worm: notificações de atividades maliciosas relacionadas com o processo automatizado de propagação de códigos maliciosos na rede.
• dos (DoS -- Denial of Service): notificações de ataques de negação de serviço, onde o atacante utiliza um computador ou um conjunto de computadores para tirar de operação um serviço, computador ou rede.
• invasão: um ataque bem sucedido que resulte no acesso não autorizado a um computador ou rede.
• web: um caso particular de ataque visando especificamente o comprometimento de servidores Web ou desfigurações de páginas na Internet.
• scan: notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador.
• fraude: segundo Houaiss, é "qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro". Esta categoria engloba as notificações de tentativas de fraudes, ou seja, de incidentes em que ocorre uma tentativa de obter vantagem.
• outros: notificações de incidentes que não se enquadram nas categorias anteriores.

Obs.: Vale lembrar que não se deve confundir scan com scam. Scams (com "m") são quaisquer esquemas para enganar um usuário, geralmente, com finalidade de obter vantagens financeiras. Ataques deste tipo são enquadrados na categoria fraude.